Aplica-se a estas edições do Windows 7

Professional

Ultimate

Enterprise

Monitorizar tentativas de obter acesso e alterar definições no computador

Tem de ter sessão iniciada como administrador para executar estes passos.

Pode monitorizar (também conhecido como auditar) as ocorrências no computador para ajudar a torná-lo mais seguro. Ao auditar o computador, pode saber se alguém iniciou sessão no computador, criou uma nova conta de utilizador, alterou a política de segurança ou abriu um documento. A auditoria não impede que um hacker ou outra pessoa com conta de utilizador no computador de efectuar alterações, permite apenas saber quando foi efectuada uma alteração e quem a efectuou

A tabela seguinte descreve os vários tipos de eventos que pode monitorizar. Se escolher monitorizar algum destes tipos de eventos, o Windows regista os eventos num registo que pode consultar no Visualizador de eventos.

Event Descrição

Gestão de contas

Monitorize-a para ver quando alguém alterou um nome de conta, activou ou desactivou uma conta, criou ou eliminou uma conta, alterou uma palavra-passe ou alterou um grupo de utilizadores.

Eventos de início de sessão

Monitorize-os para ver quando alguém iniciou ou terminou sessão no computador (fisicamente no computador ou por tentativa de inicio de sessão através da rede).

Acesso ao serviço de directório

Monitorize-o para ver se alguém acede a um objecto do Active Directory que tem a sua própria SACL (system access control list).

Acesso a objectos

Monitorize-o para ver quando alguém utilizou um ficheiro, pasta, impressora ou outro objecto. Apesar de também poder auditar chaves do registo, a Microsoft não recomenda que o faça a menos que tenha conhecimentos avançados de informática e saiba como utilizar o registo.

Alteração da política

Monitorize-a para ver as tentativas de alteração das políticas de segurança local e para ver se alguém alterou as atribuições de direitos de utilizador, políticas de auditoria ou de fidedignidade.

Utilização de privilégios

Monitorize-a para ver quando alguém efectuar uma tarefa para a qual tenha permissão no computador.

Controlo de processos

Monitorize-o para ver quando os eventos, tal como a ocorrência de uma activação de programa ou uma saída de processo.

Eventos do sistema

Monitorize-os para ver quando alguém encerrou ou reiniciou o computador ou quando um processo ou programa tenta realizar uma operação para a qual não tem permissão. Por exemplo, se spyware tentou alterar uma definição no computador sem permissão, a monitorização de eventos do sistema iria registar essa tentativa.
Mostrar tudo

Para activar a auditoria

  1. Abra a Política de Segurança Local clicando no botão IniciarImagem do botão Iniciar, escrevendo secpol.msc na caixa de pesquisa e, em seguida, clicando em secpol. São necessárias credenciais de administrador Se lhe for pedida uma palavra-passe de administrador ou uma confirmação, escreva a palavra-passe ou forneça a confirmação.

  2. No painel da esquerda, faça duplo clique em Políticas Locais e, em seguida, clique em Política de Auditoria.

  3. Faça duplo clique no tipo de evento que pretende auditar.

  4. Seleccione a caixa de verificação Êxito ou Falha ou ambas e, em seguida, clique em OK.

    • Se seleccionar Êxito, o Windows irá registar todas as tentativas com êxito para concluir o tipo de evento que estiver a monitorizar. Por exemplo, se estiver a auditar eventos de início de sessão, sempre que alguém iniciar sessão no computador seria considerado um evento de início de sessão com êxito.

    • Se seleccionar Falha, qualquer tentativa de iniciar sessão no computador sem êxito será registada.

    • Se seleccionar Êxito e Falha, o Windows regista todas as tentativas.

    Existe um limite para o número de eventos que podem ser registados e se a auditoria ficar muito cheia, pode tornar o computador mais lento. Para obter mais espaço, pode eliminar eventos do registo quando os estiver a ver no Visualizador de Eventos.

Para monitorizar quem abre documentos

  1. Clique com o botão direito do rato no documento ou ficheiro que pretende controlar e, em seguida, clique em Propriedades.

  2. Clique no separador Segurança, clique em Avançadas e clique no separador Auditoria.

  3. Clique em Continuar. São necessárias credenciais de administrador Se lhe for pedida uma palavra-passe de administrador ou uma confirmação, escreva a palavra-passe ou forneça a confirmação.

  4. Clique em Adicionar.

  5. Na caixa Introduza o nome do objecto a seleccionar, escreva o nome do utilizador ou grupo cujas acções pretende controlar e clique em OK em cada uma das quatro caixas de diálogo abertas.

    Se pretender monitorizar todas as pessoas, escreva Todos. Se pretender monitorizar um utilizador específico, introduza o nome do computador seguido pelo nome do utilizador ou o nome do domínio seguido pelo nome do utilizador (se o computador estiver num domínio): computador\nome de utilizador ou domínio\nome de utilizador.

  6. Seleccione a caixas de verificação da acção que pretende auditar e, em seguida, clique em OK. a tabela seguinte descreve as acções que pode auditar.

    Acções auditáveis para ficheiros

    Acção Descrição

    Atravessar pasta / executar ficheiro

    Mantém o registo quando alguém executa um ficheiro de programas.

    Listar pasta/Ler dados

    Mantém o registo quando alguém vê os dados num ficheiro.

    Ler atributos

    Mantém o registo de quando alguém vê os atributos de um ficheiro, tais como Só de leitura ou Oculto.

    Ler atributos expandidos

    Mantém o registo quando alguém vê os atributos expandidos de um ficheiro. Os atributos expandidos são definidos pelo programa que criou o ficheiro.

    Criar ficheiros / escrever dados

    Mantém o registo quando alguém altera os conteúdos de um ficheiro.

    Criar pastas / acrescentar dados

    Mantém o registo quando alguém adiciona dados ao final de um ficheiro.

    Escrever atributos

    Mantém o registo quando alguém altera os atributos de um ficheiro.

    Escrever atributos expandidos

    Mantém o registo quando alguém altera os atributos expandidos de um ficheiro.

    Eliminar subpastas e ficheiros

    Mantém o registo quando alguém elimina uma pasta.

    Eliminar

    Mantém o registo quando alguém elimina um ficheiro.

    Ler permissões

    Controla quando alguém lê as permissões num ficheiro.

    Alterar permissões

    Mantém o registo quando alguém altera as permissões num ficheiro.

    Obter propriedade

    Mantém o registo quando alguém obtém a propriedade de um ficheiro.
    Nota

    Nota

    • Seleccionar a caixa de verificação Controlo total implica a selecção de todas as acções auditáveis.

Para ver os registos de auditoria

  1. Abra o Visualizador de Eventos clicando no botão IniciarImagem do botão Iniciar, em Painel de Controlo, em Sistema e Segurança, em Ferramentas Administrativas e fazendo duplo clique em Visualizador de Eventos. São necessárias credenciais de administrador Se lhe for pedida uma palavra-passe de administrador ou uma confirmação, escreva a palavra-passe ou forneça a confirmação.

  2. No painel da esquerda, faça duplo clique em Registos do Windows e clique em Segurança.

  3. Faça duplo clique num evento para consultar os detalhes.

Nota

Nota

  • Para eliminar os registos, clique em Limpar o registo no painel Acções.

Para mais informações sobre a auditoria de segurança, incluindo políticas de auditoria detalhadas, visite Auditoria de Segurança (pode estar em inglês) no Web site da Microsoft.